Q
[질문] 우리가 사용하는 소프트웨어와 오픈소스의 구성 요소를 정확히 파악하고 있으며, 잠재적인 취약점을 어떻게 관리하고 있나요?
A
소프트웨어 공급망 보안 강화를 위해 일반적으로 CI/CD파이프라인관점에서 SBOM및 VEX기능을 적극 활용하고 있습니다. 이를 통해 우리가 사용하는 상용 소프트웨어와 오픈소스의 모든 구성 요소를 정확히 파악하는 것이 필요합니다. 구체적으로, SBOM을 생성하고 분석하여 각 구성 요소의 의존성 및 출처를 명확히 하고, 알려진 취약점(CVE) 정보를 식별하고 VEX를 결합하여 해당 취약점이 우리의 소프트웨어에 실제로 미치는 영향을 정량적으로 평가하고 불필요한 노이즈를 제거하도록 합니다. 일반적으로 해당 기능을 제공하고 있는 CNAPP솔루션을 통해서 관리하는 것을 권고 드립니다.
A
Sbom 구성에 대한 표준이 있나요? 이에 대한 표준 없이는 특히 의존성의 추적이 무척 어려울 것 같은데요